futuremix

INTERNET Watch の記事 経由、Secunia のアドバイザリーから。Mozilla、Firefox のおそらくすべてのバージョンに、アドレスバーなどのユーザーインターフェイス(UI)を偽装できる脆弱性が発見されました(CAN-2004-0764)。フィッシング詐欺などに利用されるおそれがあります。

これは Mozilla / Firefox がリモートの XUL ファイルをそのまま解釈してしまうために起こります。おおざっぱに言ってしまうと、Mozilla は XUL という XML ファイルで UI 構造が定義され、JavaScript で動作が記述され、CSS で外観(テーマ)が書かれていて、Gecko エンジンで解釈されて動いています。だから通常のサイトを解釈するように XUL を解釈することも可能なのですが、これが裏目に出たわけですね。

実証サイトを試してみたところ、メニューバーとツールバーが完全に偽装され、アドレスバーには paypal のアドレスが表示されています。ステータスバーも偽装され、鍵のかかったアイコンが表示されています。日本語ランゲージパックを入れていますが、偽装されたメニューも日本語で表示されています。ボタンのサイズや、ボタンの表示をカスタマイズしているので、比べると若干違うのは分かります。

このスクリーンショットでは、本来のメニューやツールバー、タブなどを出していますが、実際に JavaScript でメニューバーとツールバーを消してしまえば、本物そっくりに見えることでしょう。（実際の実証コードはその様になっています。）TabBrowserExtension などで、JavaScript で開かれるウィンドウを強制的にタブで開くようにしていれば、スクリーンショットの様な状態で表示されるので、おかしいと気づくでしょうが。

8月5日追記

Mozilla 1.7.2 / Firefox 0.9.3 / Thunderbird 0.7.3 がリリースされましたが、この欠陥については修正されていません。